Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.1運用手順/3.4.2.1利用目的の特定 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.1運用手順/3.4.2.1利用目的の特定

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column19.html


皆さんこんにちは。今回のテーマは3.4.1運用手順/3.4.2.1利用目的の特定です。

まず、「3.4.1運用手順」の要求事項ですが、この要求事項の目的というのは、規格の本文に書いてある通り、「個人情報保護マネジメントシステムを確実に実施するため」です。そのために、運用の手順を明確にすればいいのです。

必ずしも、文書化を要求しているわけではありません。手順の内容を各担当者が認識し、日常の管理業務遂行のうえで問題なく履行されるような状態にあればいいでしょう。言い換えると、文書化しないことにより、手順が適切に実施できない恐れがあるならば、文書化した方がいいと思います。

皆様、このように規格で明文化されなくても自社のルールを定め、必要に応じて文書化することになると思いますので、特に気にする必要もないでしょう。

では、続いて「3.4.2.1利用目的の特定」の要求事項です。この要求事項は、個人情報を取得する際の要求事項ですね。内容としては規格の文言通りで、個人情報を取得するにあたり、その利用目的をできるだけ明確に特定することを要求するものです。一般的には、本人の種類ごとに理解しやすい表現で特定します。実際に、個人情報の利用目的を特定する際、「どこまで具体性を持たせた書き方をすれば良いのか?」というのが、担当者の方のよくある悩みだと思います。

経済産業省のガイドラインを見てみると、本件に関して以下のような指針が示されています。

================
利用目的の特定にあたっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱い事業者において最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定する必要がある。

【具体的に利用目的を特定している事例】
・○○事業における商品の発送、関連するアフターサービス、新商品、サービスに関する情報のお知らせのために利用致します。
・ご記入頂いた氏名、住所、電話番号は、名簿として販売することがあります。
・給与計算処理サービス、宛名印刷サービス、伝票の印刷、発送サービス等の情報処理サービス業として行うために、委託された個人情報を取り扱います。

【具体的に利用目的を特定していない事例】
・事業活動に用いるため
・提供するサービス向上のため
・マーケティング活動に用いるため
================

自社の規程を作るにあたり、具体性でお困りのようでしたら、上記の事例を参考に、自社の利用目的を定めればよろしいかと思います。

なお、プライバシーマークの現地審査において、利用目的が抽象的、一般的という理由により指摘を受けている例もあります。では、“どこまで書けば具体的か”…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column19.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×